浅谈大数据背景下商业银行客户信息保护

浅谈大数据背景下商业银行客户信息保护

周志远

中国农业银行审计局上海分局

摘要：商业银行数字化转型的大背景下，发挥数据价值和防范数据泄露、滥用的矛盾愈发突出。做好客户信息保护，既是银行必须承担的法律责任，也是不可推卸的社会责任，值得深入思考研究。本文拟结合审计工作实践，深入剖析商业银行客户信息保护的现状及存在的问题，提出针对性建议。

关键词：商业银行、客户信息保护、审计

一、商业银行客户信息保护现状

习近平总书记强调，国家网络安全工作要保障个人信息安全，维护公民在网络空间的合法权益。2016年，《中华人民共和国网络安全法》高票通过，成为网络安全领域的首部专门法律。2017年3月，十二届全国人大五次会议通过《民法总则》，明确对个人信息、数据、虚拟财产予以保护。特别是2021年11月1日《中华人民共和国个人客户信息保护法》的正式实施，公民个人信息保护被上升到了前所未有的高度。

当前，我国银行业正进行着一场升级换代的“数据革命”，各商业银行以信息化转型为契机，着力提升数据处理能力，助推业务高质量发展。但转型探索过程中，客户金融信息过度采集、随意泄露、滥用侵权等现象频繁出现，部分银行“外发客户信息不加密”“征信查询不规范”“外包业务客户信息管理不规范”等问题较为突出。如，2021年3月19日，中信银行因未经客户本人授权，就查询并向第三方提供其个人银行账户交易信息，被银保监会处以450万元罚款。近日，渤海银行“28亿元存款在未授权、不知情情况下被质押”事件持续发酵，正接受银保监会问询。

上述情况如不及时解决，将给商业银行和客户带来较大风险，甚至可能造成系统性金融风险。作为数据密集型行业，银行业亟需完善规章制度，加大信息保护力度，确保数据信息安全合规应用。

二、存在问题

（一）重视程度有待提高。主要表现在：一是制度执行不够严。部分基层机构和员工信息保护意识较为淡薄，对客户信息保护喊起来重要、干起来次要、忙起来不要，打着“提高效率”“营销需要”等旗号，对银行出台的相关制度，有章不循、违规操作。二是培训效果不够好。从审计的实际情况看，客户信息保护培训计划没有得到严格执行，相关培训内容不更新、重点不突出、结果不考核，培训效果不尽如人意。三是监督检查不够实。从风险管理“三道防线”的角度来看，对客户信息保护方面的检查还存在重视不够、重点不清、力度不大等问题。如个别支行尽职监督检查，没有突出对外包业务、代理业务、关键岗位等重点环节领域的监督检查，连续几年在客户信息保护方面“零底稿”，相关问题往往等到外部监管或内部审计时才被发现，积小患成大病。

（二）闭环管理尚未形成。根据人民银行的相关要求，商业银行对客户信息数据处理，包括收集、存储、使用、加工、传输、提供、公开、销毁等环节。实际工作中，各家银行往往只针对申请、审批、提取、下载等流程进行管理，对数据下载到本地后直至删除销毁等环节的关注不够，没有做到数据生命周期管理[1]。如，由于审计需要，审计人员会调取大量客户信息，包括证件号、交易记录、手机号等，其中部分数据存储于工作人员个人设备中。但项目结束后，大量数据没有按要求及时进行统一收管存储或销毁，容易造成客户信息外泄。

（三）系统管理不够规范。一是用户权限设置不规范。部分系统未能按照合法、正当、必要原则对系统用户进行授权，“过度授权”屡见不鲜。二是部分系统设计存在缺陷。如银保通系统，存在未经授权可直接查询客户敏感信息的情况。三是未定期对系统用户进行维护。部分用户因工作调整、退休等原因，实际工作岗位与用户权限不一致，未及时进行更新维护。

（四）政策制度传导效率不高。由于管理链条过长，公文流转时效性较低等原因，部分制度下发、培训、落实等各环节效力层层递减，造成客户经理、柜员等关键岗位对政策制度不了解、不清楚，不能有效防范潜在违规行为。

三、相关建议

（一）高度重视客户信息保护工作。一是切实增强保密意识。签订《客户信息保护承诺书》，划好风险底线。落实培训制度，加强相关法律法规、制度、案例培训，提高员工的法律素养和职业修养，增强员工保密自觉性。二是厘清职责、加强沟通。加强督查考核，严格奖惩，倒逼责任落实。加强横向和纵向沟通，及时将监管机构制度文件和政策要求传达到位，打通最后一公里。三是树牢数据信息安全理念。将数据信息安全理念作为商业银行企业文化建设的重要组成部分，内化于心、外化于行，以最严格的标准确保客户信息安全。

（二）强化制度建设和执行。一是要结合最新的法律法规和监管规定进一步完善客户信息保护相关制度体系，建立基于全行的数据生命周期管理制度，细化各环节流程，明确对客户信息生命周期进行管理的权责、标准和奖惩等。二是健全客户信息分级授权管理制度，细化客户信息安全控制流程，合理确定客户信息调取范围、权限和程序，确保内部使用及对外提供等数据流转环节的安全性。三是健立完善客户信息安全状况定期评估、审计和检查监督机制，强化制度执行，充分发挥业务部门、风险管理部门和内部审计部门“三道防线”风险防控作用，将客户信息保护工作纳入各级行各部门工作评价，强化激励约束和监督问责力度。[1]

（三）加强客户信息数据生命周期管理。一是落实岗位职责。严格按照数据生命周期管理模式，对客户信息数据进行全流程管控，层层落实各环节岗位责任，做到“谁主管，谁负责；谁研发，谁负责；谁使用，谁负责”。

图 1：数据提取流程图

二是加强授权管理。按照“业务必需”和“最小授权”的原则，分配各类管理用户权限，实现管理用户权限的分离，形成相互制约的关系。定期对相关系统进行维护，确保实际使用人权责一致。

三是重点管控数据保存销毁环节。设定安全数据文档管理功能，在借用数据到期后自动禁止数据的访问，并按策略定期销毁数据。对于下载到本地的数据，进行加密并设定使用期限，使用期限到期将无法使用。[2]

（四）加大宣传教育，形成良好环境。利用“3·15”、“金融知识普及月”等活动，通过进学校、进企业、进社区、进公园、进街道等方式，采取设立咨询台现场讲解，发放宣传折页、手册，开展互动活动等百姓喜闻乐见的形式普及客户信息保护知识，推动形成政府、商业银行、相关社会组织、公众共同参与客户信息保护的良好环境。

参考文献：

[1]施其武.破解金融消费者信息保护困局[J].中国农村金融，2021，33（6）：87-88

[2]陶蔚，李刚. 商业银行个人信息保护现状与对策[J].金融科技时代，2018，27（2）：52-56

作者简介：（姓名：周志远，出生年月：1987.12，性别：男，民族：汉，籍贯：安徽宿州，单位：中国农业银行审计局上海分局，职称：经济师，学位：工学学士。）

1

[1]数据生命周期管理(data life cycle management，DLM)是一种基于策略的方法，用于管理信息系统的数据在整个生命周期内的流动:从创建和初始存储，到它过时被删除。